Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '<Текущая директория>\4runme.exe'
Запускает на исполнение:
- '<SYSTEM32>\ping.exe' -n 10 127.0.0.1
- '<SYSTEM32>\taskkill.exe' /F /IM explorer.exe
- '%WINDIR%\explorer.exe'
- '<SYSTEM32>\userinit.exe'
- '<SYSTEM32>\ping.exe' -n 30 127.0.0.1
- '<SYSTEM32>\cmd.exe' /c ""<Текущая директория>\runme.bat" 4runme.exe"
- '<SYSTEM32>\taskkill.exe' /F /IM 4runme.exe
- '<SYSTEM32>\msiexec.exe'
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\msiexec.exe
Завершает или пытается завершить
следующие системные процессы:
- %WINDIR%\Explorer.EXE
Изменения в файловой системе:
Создает следующие файлы:
- <Текущая директория>\4runme.exe
- <Текущая директория>\runme.bat
Сетевая активность:
Подключается к:
- 'cd####.##stinguploadsite.com':80
- '74.##5.232.51':80
TCP:
Запросы HTTP GET:
- cd####.##stinguploadsite.com/uploading/id=1888547873&u=4WWYvjA+sJYdbzjFmxr6tGGieYctyjdmQnvRyRjbacviRtnYIg2xc6QMAWYaZM4RqxalcusDRHEPWTPveejxxw==
- 74.##5.232.51/
UDP:
- DNS ASK cd####.##stinguploadsite.com
- DNS ASK www.google.com
Другое:
Ищет следующие окна:
- ClassName: 'OleMainThreadWndClass' WindowName: '(null)'
- ClassName: 'SysListView32' WindowName: '(null)'
- ClassName: 'CSCHiddenWindow' WindowName: '(null)'
- ClassName: 'SystemTray_Main' WindowName: '(null)'
- ClassName: 'BaseBar' WindowName: 'ChanApp'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: 'EDIT' WindowName: '(null)'
- ClassName: 'Proxy Desktop' WindowName: '(null)'
- ClassName: '(null)' WindowName: '(null)'
